Dashboard Cloud Compromessi: Cloud Service Dashboard (T1538)

Prima di accedere alle dashboard, è necessario ottenere credenziali valide. Una volta autenticati, l'enumerazione diventa triviale attraverso il browser.

Per AWS, dopo aver compromesso credenziali con privilegi di lettura, accedi alla console tramite https://console.aws.amazon.com. La sezione EC2 Dashboard mostra immediatamente istanze running, security groups e indirizzi elastici. Il tab "Instances" rivela nomi, IP privati/pubblici e tag che spesso contengono informazioni sulla funzione del sistema.

Scattered Spider ha dimostrato come AWS Systems Manager Inventory possa essere weaponizzato per discovery avanzata. Dalla console SSM, seleziona "Inventory" per visualizzare software installato, configurazioni di rete e patch status di tutti i sistemi gestiti. Questa vista aggregata supera di gran lunga ciò che potresti ottenere con aws ssm list-inventory-entries.

In Azure Portal (https://portal.azure.com), la blade "All resources" fornisce una mappa completa dell'infrastruttura. Filtra per tipo risorsa e usa la funzione di raggruppamento per tag per identificare ambienti di produzione vs sviluppo. La sezione Network Security Groups espone regole firewall che rivelano flussi di comunicazione interni.

Per GCP, accedi a https://console.cloud.google.com e naviga verso Security Command Center. La dashboard "Findings" aggrega vulnerabilità note, mentre "Assets" mostra l'inventario completo con metadati di esposizione Internet. Il Compute Engine dashboard rivela istanze VM con relativi dischi e snapshot che potrebbero contenere dati sensibili.

L'automazione browser può velocizzare la raccolta dati. Puppeteer o Selenium possono navigare programmaticamente le dashboard salvando screenshot e dati strutturati per analisi offline.

Il rilevamento deve distinguere l'uso legittimo delle dashboard da pattern anomali che indicano reconnaissance malevola.

CloudTrail cattura gli eventi di login console con user agent del browser. Crea detection rule che correlano ConsoleLogin eventi seguiti da burst di attività read-only su risorse multiple. Un amministratore tipicamente accede a dashboard specifiche, mentre un attaccante esplora sistematicamente ogni sezione.

L'analytic AN0808 propone di monitorare sequenze login-navigazione anomale. Implementa regole che triggherino su: login da nuovo IP/device seguito da accesso a più di 5 dashboard diverse in 10 minuti, oppure navigazione verso sezioni raramente visitate come billing details o IAM policies review.

Per Azure, monitora SignInLogs cercando accessi al portale da user agent browser non standard o da geolocation inaspettate. L'analytic AN0810 suggerisce di tracciare specifici percorsi di navigazione nel Microsoft 365 Admin Center che indicano information gathering sistematico.

I falsi positivi derivano principalmente da nuovi amministratori in fase di onboarding o audit periodici. Mantieni una baseline dei pattern di navigazione per ruolo e allerta su deviazioni significative. User agent spoofing è comune: valida che il browser dichiarato corrisponda alle capacità JavaScript osservate.

Configura threshold dinamici basati sul contesto dell'utente. Un DevOps engineer può legittimamente esplorare multiple dashboard, mentre un finance user che accede a EC2 inventory è altamente sospetto. L'analytic AN0811 propone reputation scoring degli IP sorgente combinato con analisi comportamentale.

Le dashboard cloud lasciano tracce forensi distintive che permettono di ricostruire esattamente cosa l'attaccante ha visualizzato.

In AWS, CloudTrail registra ogni interazione console con timestamp precisi. Eventi come GetConsoleScreenshot o DescribeInstances con user agent browser indicano navigazione GUI. Correla questi eventi con i log di CloudFront che servono asset statici della console per ricostruire la sequenza di pagine visitate.

Il browser dell'attaccante potrebbe aver salvato cache locale delle dashboard. Se recuperi l'endpoint compromesso, esamina %LocalAppData%\Google\Chrome\User Data\Default\Cache per immagini e JSON responses della console AWS. Firefox store simili artefatti in cache2\entries.

Azure Portal utilizza Application Insights per telemetria dettagliata. Query sui custom events rivela ogni click e navigazione con payload delle richieste. La tabella requests in Log Analytics contiene URL completi delle blade visitate, permettendo di mappare esattamente quali risorse sono state enumerate.

Per GCP, Stackdriver Logging cattura interazioni console con granularità elevata. Il campo protoPayload.methodName distingue chiamate API da navigazione web console. Eventi come compute.instances.list con source IP del browser indicano uso della dashboard invece che gcloud CLI.

L'analisi temporale è cruciale. Dashboard legittime mostrano pattern di navigazione focalizzata, mentre reconnaissance malevola presenta esplorazioni ampie e sistematiche. Cerca burst di attività su risorse non correlate funzionalmente che indicano information gathering opportunistico.

Scattered Spider ha pionerato l'uso sistematico di dashboard cloud per discovery operations, dimostrando come GUI abuse possa bypassare detection focalizzate su API anomale.

Questo gruppo privilegia l'accesso attraverso social engineering per ottenere credenziali legittime, seguito da patient reconnaissance attraverso console web. Il loro modus operandi include screenshot sistematici di dashboard per documentazione offline e pianificazione di mosse successive.

L'abuso di AWS Systems Manager Inventory da parte di Scattered Spider rivela sofisticazione tattica: invece di query dirette che potrebbero triggerare alert, utilizzano viste aggregate native per comprendere rapidamente l'ambiente. Questo pattern suggerisce familiarità con blue team practices e deliberato evitamento di IoC tradizionali.

Geographic pattern indicano preferenza per l'accesso da exit node VPN commerciali in fusi orari che matchano quelli delle vittime, riducendo anomaly detection. L'uso di browser comuni con user agent standard dimostra attenzione all'evasione. Monitora questi fornitori VPN specifici durante incident response.

La progressione tattica osservata mostra evolution da semplice data theft verso living-off-the-land techniques. Dopo dashboard reconnaissance, Scattered Spider tipicamente abusa di funzionalità native cloud per movimento laterale, evitando tool custom che potrebbero essere detectati. Aspettati uso di Systems Manager Session Manager o Azure Bastion per accesso a sistemi interni post-discovery.

Tecnica documentata in MITRE ATT&CK T1538 con focus su abuso di interfacce grafiche cloud per discovery operations. Case study basato su operazioni reali di Scattered Spider dimostra l'efficacia tattica dell'approccio GUI-based rispetto a reconnaissance via API programmatiche.